【正文】 從這里我們就可以看出，信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估是一個(gè)風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)評(píng)測(cè)、給出風(fēng)險(xiǎn)報(bào)告與后期維護(hù)四者之間不斷循環(huán)往復(fù)的處理過(guò)程。另外，非常重要的一點(diǎn)就是：在所有的安全修補(bǔ)工作按要求全部完成后，一定要按本文所描述的風(fēng)險(xiǎn)評(píng)估過(guò)程重新對(duì)修補(bǔ)后的評(píng)估對(duì)象進(jìn)行一次復(fù)查評(píng)估，以便確認(rèn)修補(bǔ)后評(píng)估對(duì)象是否真正達(dá)到了期望的安全水平。后期安全維護(hù)就是按照風(fēng)險(xiǎn)評(píng)估報(bào)告中給出的安全修補(bǔ)建議，決定實(shí)施額外的管理和安全防范措施，以便能修正現(xiàn)有的安全策略，降低目前存在的弱點(diǎn)可能被威脅利用后帶來(lái)的風(fēng)險(xiǎn)水平。對(duì)于專(zhuān)門(mén)的風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)或安全公司來(lái)說(shuō)，當(dāng)給出具體的安全風(fēng)險(xiǎn)評(píng)估報(bào)告后，就表明此次風(fēng)險(xiǎn)評(píng)估任務(wù)全部結(jié)束。并且有整個(gè)參與人員的所有手工簽名，以及標(biāo)出所有評(píng)估都是參照某個(gè)國(guó)家或國(guó)際標(biāo)準(zhǔn)來(lái)評(píng)定具體安全和風(fēng)險(xiǎn)級(jí)別的。有效性說(shuō)明這份報(bào)告是在真實(shí)檢測(cè)和分析的基礎(chǔ)上形成的，而且時(shí)間與報(bào)告的時(shí)間相吻合。安全風(fēng)險(xiǎn)評(píng)估報(bào)告同時(shí)也可以作為上報(bào)給機(jī)構(gòu)領(lǐng)導(dǎo)或評(píng)估小組領(lǐng)導(dǎo)的書(shū)面報(bào)告，你可以在報(bào)告中標(biāo)出哪些方面是必需要修補(bǔ)的，以便能讓上級(jí)領(lǐng)導(dǎo)贊同你的建議。有些時(shí)候，風(fēng)險(xiǎn)評(píng)估報(bào)告中不一定要求給出具體的安全修補(bǔ)建議。安全修補(bǔ)后，還有什么風(fēng)險(xiǎn)沒(méi)能完全控制，應(yīng)當(dāng)如何進(jìn)一步控制。說(shuō)明每一個(gè)具體的安全建議，能將風(fēng)險(xiǎn)減少到什么程度。說(shuō)明這些安全建議是屬于物理、管理、還是技術(shù)控制。列出評(píng)估對(duì)象目前存在的威脅和弱點(diǎn)，給出具體的安全和風(fēng)險(xiǎn)等級(jí)。每個(gè)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告都是針對(duì)某個(gè)具體的評(píng)估對(duì)象而言的。然后，通過(guò)分析目前可以使用的安全防范技術(shù)，從機(jī)構(gòu)可以接受的安全風(fēng)險(xiǎn)防范投入成本出發(fā)，同時(shí)給出一個(gè)相應(yīng)的安全風(fēng)險(xiǎn)解決方案，并在解決方案中說(shuō)明方案實(shí)施后能解決的風(fēng)險(xiǎn)，達(dá)到的具體安全等級(jí)，以及仍然存在的風(fēng)險(xiǎn)狀況等內(nèi)容。然后就可以進(jìn)入下一個(gè)風(fēng)險(xiǎn)評(píng)估環(huán)節(jié)。有時(shí)，會(huì)將所有的評(píng)估任務(wù)分配給幾個(gè)人來(lái)進(jìn)行，因此，當(dāng)某個(gè)評(píng)估人員完成屬于他（她）的評(píng)估任務(wù)后，就應(yīng)當(dāng)在評(píng)估任務(wù)答案后評(píng)估人一欄中簽上他的名字。同時(shí)，還可以通過(guò)模擬發(fā)送機(jī)密信息的方式，審查已有的網(wǎng)絡(luò)操作行為監(jiān)控設(shè)備是否能攔截它發(fā)送到互聯(lián)網(wǎng)中，是否能夠限制員工使用即時(shí)通信軟件和P2P軟件，員工是否可以突破封鎖等任務(wù)。在本文中的網(wǎng)絡(luò)操作痕跡信息檢測(cè)評(píng)估項(xiàng)目中，所有的評(píng)估任務(wù)都是由內(nèi)向外看的方式來(lái)進(jìn)行的。這是因?yàn)樵谠u(píng)估過(guò)程中，當(dāng)前的評(píng)估任務(wù)完成后產(chǎn)生的結(jié)果，可能會(huì)用來(lái)作為下一個(gè)任務(wù)的檢測(cè)條件。恰當(dāng)?shù)厥褂眠@兩種方式，能將目前大部分的安全威脅都考慮進(jìn)來(lái)。進(jìn)行由外向內(nèi)看的測(cè)試時(shí)，是試圖從組織網(wǎng)絡(luò)邊界的外部檢測(cè)系統(tǒng)，它能為我們提供一個(gè)從外部攻擊相同的方式來(lái)審視系統(tǒng)的安全性。為了能減少使用工具產(chǎn)生的誤報(bào)和漏洞，可以使用二種以上的工具來(lái)檢測(cè)同一個(gè)評(píng)估任務(wù)，或者使用手工測(cè)試的方式來(lái)確認(rèn)檢測(cè)結(jié)果的真實(shí)性。解決評(píng)估任務(wù)的方法有很多種，包括問(wèn)卷調(diào)查、訪談、模擬社會(huì)工程攻擊、使用風(fēng)險(xiǎn)評(píng)估工具（包括軟硬件方式的工具）、審查各種日志、審查各種設(shè)備和安全設(shè)備的配置文檔，以及使用實(shí)際的模擬或真實(shí)的攻擊來(lái)檢驗(yàn)等方法，都可以用來(lái)解答評(píng)估項(xiàng)目中所需要完成的評(píng)估任務(wù)。安全風(fēng)險(xiǎn)的評(píng)估過(guò)程就是使用具體的方法，來(lái)解答在準(zhǔn)備階段制定的評(píng)估項(xiàng)目表單中所有列出的評(píng)估任務(wù)的過(guò)程。如果在準(zhǔn)備過(guò)程中疏忽了某些內(nèi)容，特別是制定的安全風(fēng)險(xiǎn)評(píng)估策略出現(xiàn)考慮不周的情況，要是沒(méi)能在執(zhí)行風(fēng)險(xiǎn)評(píng)估前檢查出來(lái)，就會(huì)使最終的風(fēng)險(xiǎn)評(píng)估結(jié)果偏離實(shí)際，這樣就會(huì)讓我們空擔(dān)心一場(chǎng)，或空歡喜一場(chǎng)。因此，在制定風(fēng)險(xiǎn)評(píng)估策略時(shí)，應(yīng)當(dāng)發(fā)動(dòng)所有評(píng)估人員，以及評(píng)估對(duì)象的使用人員和設(shè)備供應(yīng)商代表等一起來(lái)分析制定。并要求所有的評(píng)估人員，嚴(yán)格按照這個(gè)風(fēng)險(xiǎn)評(píng)估策略中的內(nèi)容來(lái)進(jìn)行具體的評(píng)估工作。同時(shí)，還應(yīng)當(dāng)準(zhǔn)備好所將設(shè)備連接入目標(biāo)網(wǎng)絡(luò)的所需的線(xiàn)纜，以及其它與此次風(fēng)險(xiǎn)評(píng)估相關(guān)的所有工具和文檔，并將它們統(tǒng)一管理。這些工具應(yīng)當(dāng)是切合本次風(fēng)險(xiǎn)評(píng)估任務(wù)的，并且在已經(jīng)通過(guò)在某個(gè)實(shí)驗(yàn)環(huán)境中測(cè)試已經(jīng)證明其有效。應(yīng)當(dāng)為此制定一個(gè)應(yīng)對(duì)有可能造成業(yè)務(wù)中斷，或造成真實(shí)安全事件發(fā)生事件時(shí)的應(yīng)急措施。（3）、確定本次評(píng)估任務(wù)的開(kāi)始和結(jié)束的具體日期和時(shí)間，如有可能，還有決定具體的風(fēng)險(xiǎn)評(píng)估時(shí)間，并在風(fēng)險(xiǎn)評(píng)估文檔中留出相應(yīng)的位置用來(lái)標(biāo)明評(píng)估工作的開(kāi)始和結(jié)束時(shí)間。⑥、使用互聯(lián)網(wǎng)搜索引擎查找網(wǎng)絡(luò)中是否存在與機(jī)構(gòu)相關(guān)的機(jī)密信息，或者可以在各種特定的新聞組、論壇及博客中搜索。④、了解機(jī)構(gòu)內(nèi)部員工的計(jì)算機(jī)技術(shù)水平，以及了解計(jì)算機(jī)技術(shù)水平較高的員工所處的部門(mén)及其操作權(quán)限。②、檢查機(jī)構(gòu)內(nèi)部員工是否通過(guò)個(gè)人主頁(yè)、博客、論壇，以及發(fā)布網(wǎng)絡(luò)求職簡(jiǎn)歷的方式，透露了機(jī)構(gòu)的組織結(jié)構(gòu)，或其它機(jī)構(gòu)內(nèi)部機(jī)密信息。評(píng)估的目的是檢查網(wǎng)絡(luò)中遺留的網(wǎng)絡(luò)操作痕跡信息中是否含有機(jī)構(gòu)內(nèi)部機(jī)密。在本例中，我們的評(píng)估對(duì)象是信息安全風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估的目的和范圍是相輔相成的，只有指定了評(píng)估對(duì)象中評(píng)估項(xiàng)目的風(fēng)險(xiǎn)評(píng)估目的，才知道需要什么樣的評(píng)估任務(wù)來(lái)達(dá)到這個(gè)目的，也就圈定了具體的評(píng)估范圍。還要說(shuō)明評(píng)估結(jié)果的填寫(xiě)和上報(bào)方式，如說(shuō)明每個(gè)評(píng)估人員完成自己的評(píng)測(cè)任務(wù)，填上評(píng)測(cè)結(jié)果后，當(dāng)上交給風(fēng)險(xiǎn)評(píng)估負(fù)責(zé)人時(shí)，還應(yīng)當(dāng)與負(fù)責(zé)人一同簽名才能有效。確定每個(gè)評(píng)估人員各自的職責(zé)，所要承擔(dān)的法律責(zé)任，并做成文檔分發(fā)到每個(gè)評(píng)估人員手中。具體的成員應(yīng)當(dāng)包括：IT部門(mén)主管、風(fēng)險(xiǎn)評(píng)估負(fù)責(zé)人、系統(tǒng)或網(wǎng)絡(luò)管理員、信息安全技術(shù)人員，還可以包括安全產(chǎn)品供應(yīng)商代表及合作伙伴代表等。制定風(fēng)險(xiǎn)評(píng)估策略一個(gè)好的風(fēng)險(xiǎn)評(píng)估策略，應(yīng)當(dāng)包括下列所示的內(nèi)容：（1）、指定評(píng)估小組成員信息風(fēng)險(xiǎn)評(píng)估小組擔(dān)負(fù)著機(jī)構(gòu)的風(fēng)險(xiǎn)評(píng)估工作，其成員要能代表整個(gè)機(jī)構(gòu)。但如果只是對(duì)某個(gè)獨(dú)立的或者是臨時(shí)決定的小評(píng)估項(xiàng)目進(jìn)行風(fēng)險(xiǎn)評(píng)估， 而且你和你的評(píng)估團(tuán)隊(duì)以前經(jīng)常對(duì)些小評(píng)估項(xiàng)目進(jìn)行風(fēng)險(xiǎn)評(píng)估，那么，只要為它做一些相應(yīng)的準(zhǔn)備工作就可以直接進(jìn)行評(píng)估了。在本文中就以信息安全風(fēng)險(xiǎn)評(píng)估對(duì)象中的網(wǎng)絡(luò)操作痕跡信息檢查為評(píng)估項(xiàng)目，來(lái)說(shuō)明一次安全風(fēng)險(xiǎn)評(píng)估該如何具體地去做。來(lái)源：互聯(lián)網(wǎng)育龍網(wǎng)核心提示： 信息的安全防范工作一直是整個(gè)信息系統(tǒng)安全防范工作中的重點(diǎn)之一。 2009年05月21日因此，安全風(fēng)險(xiǎn)評(píng)估對(duì)我們來(lái)說(shuō)，還不是眼下最要緊的事。我們對(duì)目前得到的服務(wù)基本滿(mǎn)意，但就是價(jià)格太貴了。而原來(lái)以產(chǎn)品為主的中科網(wǎng)威，近期開(kāi)始向服務(wù)傾斜，并召集了不少精英，意欲在這個(gè)潛力巨大的市場(chǎng)一展身手。與安氏類(lèi)似，瑪賽網(wǎng)絡(luò)也曾在這個(gè)市場(chǎng)顯山露水，并為業(yè)界培養(yǎng)了不少人才。而這一點(diǎn)，對(duì)供應(yīng)商的行業(yè)理解要求很高?！澳壳?，來(lái)自評(píng)估的業(yè)務(wù)已經(jīng)占到總收入的60%，”謝朝霞說(shuō)，“客戶(hù)多來(lái)自銀行和電信，單子很多，規(guī)模一般在幾萬(wàn)到幾十萬(wàn)。地處深圳的安絡(luò)科技在南方市場(chǎng)因此具有優(yōu)勢(shì)。服務(wù)好壞，響應(yīng)速度顯然是服務(wù)一個(gè)重要的衡量指標(biāo)。 “2003年上半年，安全風(fēng)險(xiǎn)評(píng)估的單子比預(yù)計(jì)的翻了一倍，”劉恒說(shuō)。迄今為止，已經(jīng)承擔(dān)了國(guó)家級(jí)、部級(jí)重點(diǎn)信息安全科研項(xiàng)目三十多項(xiàng)。最為業(yè)界津津樂(lè)道的是，綠盟網(wǎng)羅了不少高手，這些網(wǎng)絡(luò)